国精品无码一区二区三区在线,欧美性XXXXX极品少妇,亚洲伊人成无码综合网

利用云筆記平臺(tái)投遞遠(yuǎn)控木馬的攻擊活動(dòng)分析

時(shí)間 :  2023年03月24日  來源:  安天CERT

1.概述

近期,安天CERT監(jiān)測到一起利用云筆記平臺(tái)投遞遠(yuǎn)控木馬的攻擊活動(dòng)。攻擊者將遠(yuǎn)控木馬相關(guān)載荷文件托管于某云筆記平臺(tái)中,借助可信站點(diǎn)規(guī)避安全產(chǎn)品在流量側(cè)的檢測,并且持續(xù)更新其中的文件。

本次攻擊活動(dòng)于2022年開始進(jìn)行,攻擊者將偽裝成應(yīng)用程序的誘餌文件投放至下載站,或者利用釣魚郵件發(fā)送偽裝成文檔的誘餌文件,以此引誘用戶下載執(zhí)行。誘餌文件執(zhí)行后采用“DDR”(Dead Drop Resolvers)技術(shù),從某云筆記平臺(tái)下載攻擊載荷,利用其中的可執(zhí)行程序加載惡意DLL文件、獲取Shellcode并解密獲得最終的遠(yuǎn)控木馬,實(shí)現(xiàn)對用戶設(shè)備的遠(yuǎn)程控制。

經(jīng)關(guān)聯(lián)分析,攻擊者利用誘餌文件最終投遞的遠(yuǎn)控木馬是基于Gh0st遠(yuǎn)控木馬家族所更改的變種。該遠(yuǎn)控木馬具備持久化、竊取信息、下載執(zhí)行、文件管理等多種定制化的惡意功能,實(shí)現(xiàn)對受害者設(shè)備的遠(yuǎn)程控制,并且具備較強(qiáng)的隱蔽性。Gh0st遠(yuǎn)控木馬的代碼已經(jīng)被公開,因此攻擊者可以根據(jù)需求定制惡意功能,對惡意代碼進(jìn)行快速更新。安天CERT曾于2022年10月24日發(fā)布的《通過偽造中文版Telegram網(wǎng)站投放遠(yuǎn)控木馬的攻擊活動(dòng)分析》[1]中介紹了另一起投放該遠(yuǎn)控木馬變種的攻擊活動(dòng)。

經(jīng)驗(yàn)證,安天智甲終端防御系統(tǒng)(簡稱IEP)可實(shí)現(xiàn)對該遠(yuǎn)控木馬的有效查殺。

2.事件對應(yīng)的技術(shù)特點(diǎn)分布圖:

圖2?1 技術(shù)特點(diǎn)對應(yīng)ATT&CK的映射

具體ATT&CK技術(shù)行為描述表:

表2?1 ATT&CK技術(shù)行為描述表

ATT&CK階段/類別

具體行為

注釋

資源開發(fā)

獲取基礎(chǔ)設(shè)施

獲取C2服務(wù)器

環(huán)境整備

將惡意載荷托管于云平臺(tái)

執(zhí)行

誘導(dǎo)用戶執(zhí)行

誘導(dǎo)用戶執(zhí)行

持久化

利用自動(dòng)啟動(dòng)執(zhí)行引導(dǎo)或登錄

實(shí)現(xiàn)開機(jī)自啟動(dòng)

創(chuàng)建或修改系統(tǒng)進(jìn)程

創(chuàng)建服務(wù)

防御規(guī)避

反混淆/解碼文件或信息

解碼載荷信息

隱藏行為

隱藏行為

仿冒

仿冒其他程序

修改注冊表

修改注冊表

混淆文件或信息

混淆載荷信息

發(fā)現(xiàn)

發(fā)現(xiàn)應(yīng)用程序窗口

發(fā)現(xiàn)應(yīng)用程序窗口

發(fā)現(xiàn)文件和目錄

發(fā)現(xiàn)文件和目錄

發(fā)現(xiàn)進(jìn)程

發(fā)現(xiàn)進(jìn)程

查詢注冊表

查詢注冊表

發(fā)現(xiàn)軟件

發(fā)現(xiàn)軟件

發(fā)現(xiàn)系統(tǒng)網(wǎng)絡(luò)配置

發(fā)現(xiàn)系統(tǒng)網(wǎng)絡(luò)配置

發(fā)現(xiàn)系統(tǒng)網(wǎng)絡(luò)連接

獲取系統(tǒng)網(wǎng)絡(luò)連接

發(fā)現(xiàn)系統(tǒng)服務(wù)

發(fā)現(xiàn)系統(tǒng)服務(wù)

發(fā)現(xiàn)系統(tǒng)時(shí)間

發(fā)現(xiàn)系統(tǒng)時(shí)間

收集

壓縮/加密收集的數(shù)據(jù)

對收集的數(shù)據(jù)進(jìn)行加密

自動(dòng)收集

自動(dòng)收集

收集本地系統(tǒng)數(shù)據(jù)

收集本地系統(tǒng)數(shù)據(jù)

數(shù)據(jù)暫存

暫存擊鍵記錄到文件

命令與控制

編碼數(shù)據(jù)

編碼數(shù)據(jù)

使用加密信道

加密流量

使用標(biāo)準(zhǔn)非應(yīng)用層協(xié)議

使用TCP協(xié)議

數(shù)據(jù)滲出

自動(dòng)滲出數(shù)據(jù)

自動(dòng)發(fā)送上線數(shù)據(jù)包

使用C2信道回傳

使用C2信道回傳

影響

損毀數(shù)據(jù)

刪除指定數(shù)據(jù)

操縱數(shù)據(jù)

操縱數(shù)據(jù)

篡改可見內(nèi)容

篡改可見內(nèi)容

系統(tǒng)關(guān)機(jī)/重啟

系統(tǒng)關(guān)機(jī)/重啟

3.防護(hù)建議

為有效防御此類攻擊事件,提升安全防護(hù)水平,安天建議企業(yè)采取如下防護(hù)措施:

3.1 提升主機(jī)安全防護(hù)能力

1.安裝終端防護(hù)系統(tǒng):安裝反病毒軟件,建議安裝安天智甲終端防御系統(tǒng);

2.加強(qiáng)口令強(qiáng)度:避免使用弱口令,建議使用16位或更長的口令,包括大小寫字母、數(shù)字和符號(hào)在內(nèi)的組合,同時(shí)避免多個(gè)服務(wù)器使用相同口令;

3.部署入侵檢測系統(tǒng)(IDS):部署流量監(jiān)控類軟件或設(shè)備,便于對惡意代碼的發(fā)現(xiàn)與追蹤溯源。安天探海威脅檢測系統(tǒng)(PTD)以網(wǎng)絡(luò)流量為檢測分析對象,能精準(zhǔn)檢測出已知海量惡意代碼和網(wǎng)絡(luò)攻擊活動(dòng),有效發(fā)現(xiàn)網(wǎng)絡(luò)可疑行為、資產(chǎn)和各類未知威脅。

3.2 網(wǎng)站傳播防護(hù)

1.建議使用官方網(wǎng)站下載的正版軟件。如無官方網(wǎng)站建議使用可信來源進(jìn)行下載,下載后使用反病毒軟件進(jìn)行掃描;

2.建議使用沙箱環(huán)境執(zhí)行可疑的文件,在確保安全的情況下再使用主機(jī)執(zhí)行。安天追影威脅分析系統(tǒng)(PTA)采用深度靜態(tài)分析與沙箱動(dòng)態(tài)加載執(zhí)行的組合機(jī)理,可有效檢出分析鑒定各類已知與未知威脅。

3.3 遭受攻擊及時(shí)發(fā)起應(yīng)急響應(yīng)

聯(lián)系應(yīng)急響應(yīng)團(tuán)隊(duì):若遭受惡意軟件攻擊,建議及時(shí)隔離被攻擊主機(jī),并保護(hù)現(xiàn)場等待安全工程師對計(jì)算機(jī)進(jìn)行排查;安天7*24小時(shí)服務(wù)熱線:400-840-9234。

經(jīng)驗(yàn)證,安天智甲終端防御系統(tǒng)(簡稱IEP)可實(shí)現(xiàn)對該遠(yuǎn)控木馬的有效查殺。

圖3?1 安天智甲實(shí)現(xiàn)對用戶系統(tǒng)的有效防護(hù)

4.攻擊流程

4.1 攻擊流程圖

攻擊者將偽裝成應(yīng)用程序的誘餌文件投放至下載站,或者利用釣魚郵件發(fā)送偽裝成文檔的誘餌文件,以此引誘用戶下載執(zhí)行。誘餌文件執(zhí)行后采用“DDR”(Dead Drop Resolvers)技術(shù),從某云筆記平臺(tái)下載包含攻擊載荷的壓縮包文件,實(shí)現(xiàn)開機(jī)自啟動(dòng),創(chuàng)建explorer.exe進(jìn)程通過快捷方式運(yùn)行指定的可執(zhí)行程序,隨后進(jìn)行自刪除操作??蓤?zhí)行程序運(yùn)行后,加載第一階段的DLL文件、獲取Shellcode并解密獲得最終的遠(yuǎn)控木馬,攻擊者可以借助遠(yuǎn)控木馬對受害主機(jī)進(jìn)行持久化、獲取系統(tǒng)信息、遠(yuǎn)程控制、下載執(zhí)行其他程序等多種操作。

圖4?1 攻擊流程圖

4.2 攻擊流程詳細(xì)分析
4.2.1 傳播階段

攻擊者將偽裝成應(yīng)用程序的誘餌文件投放至下載站,或者利用釣魚郵件發(fā)送偽裝成文檔的誘餌文件,以此引誘用戶下載執(zhí)行。

表4?1 部分誘餌文件

類別

程序名稱

虛假應(yīng)用程序

CiscoWebExStart.exe

PuTTY.exe

suetup.exe(將惡意程序與Telegram安裝程序捆綁)

艾爾航空管理系統(tǒng).exe

點(diǎn)擊此處安裝電腦簡體中文1515444n.exe

偽裝成文檔的可執(zhí)行程序

3月份工資提成明細(xì)表_7979.exe

公司最新注意事項(xiàng)_9524.exe

挖礦教程 BTC ETH CHIA3.exe

下發(fā)結(jié)算報(bào)表x.exe

最新國內(nèi)打擊在逃人員重要名單i.exe
4.2.2 下載惡意載荷階段

攻擊者采用“DDR”(Dead Drop Resolvers)技術(shù),將惡意載荷以壓縮包文件的形式托管于云筆記平臺(tái)中,借助可信站點(diǎn)規(guī)避安全產(chǎn)品在流量側(cè)的檢測,并持續(xù)更新其中的內(nèi)容。

圖4?2 以壓縮包形式將惡意載荷托管于云筆記平臺(tái)

4.2.3 遠(yuǎn)控木馬執(zhí)行階段

攻擊者在云筆記平臺(tái)中托管了多個(gè)包含惡意載荷的壓縮包文件,其核心都是利用惡意載荷中的可執(zhí)行程序加載第一階段的DLL文件,獲取info.txt中的Shellcode,最終投遞基于Gh0st遠(yuǎn)控木馬家族所更改的變種。在下面的“樣本分析”章節(jié)中將以其中一種惡意載荷為例進(jìn)行介紹。

圖4?3 惡意載荷

5.樣本分析

5.1 樣本標(biāo)簽

表5?1 樣本標(biāo)簽

病毒名稱

Trojan/Win32.Downloader

原始文件名

VBGood瀏覽器1.8.exe

MD5

472262D56604F589EE85278FAA43C814

處理器架構(gòu)

Intel 386 or later, and compatibles

文件大小

296.00 KB (303,104 字節(jié))

文件格式

BinExecute/Microsoft.EXE[:X86]

時(shí)間戳

2023-02-28 18:16:39

數(shù)字簽名

加殼類型

編譯語言

Microsoft Visual Basic (6.0)

VT首次上傳時(shí)間

2023-03-03 17:30:09

VT檢測結(jié)果

37/70
5.2 詳細(xì)分析

誘餌文件運(yùn)行后從某云筆記平臺(tái)中獲取攻擊者所托管的惡意壓縮包文件,下載至“C:/Users/Public”文件夾中。

圖5?1 獲取惡意壓縮包文件

該壓縮包中的惡意載荷被解壓至“C:\Users\Public\Documents\Arice\<隨機(jī)6個(gè)數(shù)字及英文字母>”文件夾中。

圖5?2 惡意載荷被解壓至指定路徑

解壓完成后,在“%AppData%\<隨機(jī)5個(gè)數(shù)字及英文字母>”文件夾中創(chuàng)建快捷方式,并移至開機(jī)啟動(dòng)文件夾中實(shí)現(xiàn)持久化。該快捷方式用于執(zhí)行惡意載荷中的可執(zhí)行程序。

圖5?3 利用快捷方式實(shí)現(xiàn)持久化

修改相關(guān)注冊表項(xiàng),關(guān)閉UAC提示。

圖5?4 關(guān)閉UAC

在“C:\Users\Public\Music\<隨機(jī)6個(gè)數(shù)字及英文字母>”文件夾中創(chuàng)建Internet快捷方式,創(chuàng)建explorer.exe進(jìn)程執(zhí)行快捷方式,從而運(yùn)行下一階段的惡意載荷。

圖5?5 創(chuàng)建Internet快捷方式

最后,誘餌文件進(jìn)行自刪除操作,刪除指定的相關(guān)文件。

圖5?6 刪除相關(guān)文件

5.2.1 加載第一階段DLL文件

“C:\Users\Public\Documents\Arice\<隨機(jī)6個(gè)數(shù)字及英文字母>”文件夾中有3個(gè)文件:可執(zhí)行程序被重命名為隨機(jī)的6個(gè)數(shù)字及英文字母,運(yùn)行后加載第一階段的libglib-2.0-0.dll文件,并讀取info.txt文件中的Shellcode,最終在內(nèi)存中執(zhí)行第二階段的DLL文件。

圖5?7 攻擊組件

該可執(zhí)行程序利用TLS回調(diào)函數(shù)開啟線程,調(diào)用libglib-2.0-0.dll文件中的導(dǎo)出函數(shù)。

圖5?8 加載libglib-2.0-0.dll文件

讀取info.txt文件中的內(nèi)容,獲取Shellcode。

圖5?9 獲取Shellcode

解密獲得第二階段的DLL文件,并調(diào)用其中的導(dǎo)出函數(shù)。

圖5?10 加載第二階段DLL文件

5.2.2 第二階段DLL文件

第二階段的DLL文件是基于Gh0st遠(yuǎn)控木馬所更改的變種,能夠通過添加相關(guān)注冊表項(xiàng)或者創(chuàng)建服務(wù)兩種方式實(shí)現(xiàn)持久化。

圖5?11 實(shí)現(xiàn)持久化

該DLL文件能夠下載并運(yùn)行其他程序。

圖5?12 下載并運(yùn)行其他程序

嘗試與C2地址進(jìn)行連接,連接成功后創(chuàng)建一個(gè)線程用來接收服務(wù)器返回的數(shù)據(jù)。

圖5?13 連接C2地址并接收返回?cái)?shù)據(jù)

在接收服務(wù)器返回的數(shù)據(jù)時(shí),將數(shù)據(jù)按字節(jié)先與49相減,再與0xFC進(jìn)行異或,從而解密接收的數(shù)據(jù)。

圖5?14 解密接收數(shù)據(jù)

此Gh0st遠(yuǎn)控木馬變種收集操作系統(tǒng)版本、CPU等基本的系統(tǒng)信息,并嘗試獲得當(dāng)前系統(tǒng)登錄的QQ號(hào)、反病毒產(chǎn)品相關(guān)進(jìn)程、當(dāng)前進(jìn)程是否處于分析環(huán)境等信息,以此構(gòu)造上線包。

圖5?15 收集信息構(gòu)造上線包

構(gòu)造上線包后,對上線包數(shù)據(jù)進(jìn)行加密,加密算法與解密接收數(shù)據(jù)的算法相反:將發(fā)送的數(shù)據(jù)按字節(jié)先與0xFC進(jìn)行異或,再與49進(jìn)行相加,最終得到加密上線包發(fā)送至C2服務(wù)器。

圖5?16 加密上線包數(shù)據(jù)

6.總結(jié)

攻擊者將偽裝成應(yīng)用程序的誘餌文件投放至下載站,或者利用釣魚郵件發(fā)送偽裝成文檔的誘餌文件,以此引誘用戶下載執(zhí)行。攻擊者采用“DDR”(Dead Drop Resolvers)技術(shù)將惡意載荷托管于云筆記平臺(tái)中,借助可信站點(diǎn)規(guī)避安全產(chǎn)品在流量側(cè)的檢測,最終投遞遠(yuǎn)控木馬對受害者主機(jī)進(jìn)行遠(yuǎn)程控制,執(zhí)行多種惡意功能。

Gh0st遠(yuǎn)控木馬的代碼已經(jīng)被公開,因此現(xiàn)在仍有攻擊者基于開源代碼定制開發(fā)惡意功能,并利用偽造網(wǎng)站、仿冒程序、釣魚郵件等傳播Gh0st遠(yuǎn)控木馬變種,安天CERT曾于2022年10月24日發(fā)布的《通過偽造中文版Telegram網(wǎng)站投放遠(yuǎn)控木馬的攻擊活動(dòng)分析》[1]中介紹了另一起投放該遠(yuǎn)控木馬變種的攻擊活動(dòng)。

在此建議用戶使用官方網(wǎng)站下載正版軟件,不要輕易打開聊天群組、論壇、郵件中未經(jīng)安全檢測的文件。為防止本次攻擊活動(dòng)擴(kuò)大影響,安天CERT將會(huì)持續(xù)跟進(jìn)關(guān)注。

7.IoCs

IoCs

472262D56604F589EE85278FAA43C814

9406935AAF579B54C49D6EDC8EE41BCA

B4D53B8479DE2E227400203E35CC762A

114AA65CE6A2EDC916DC211EED9320E3

0D40B8EF98E5DFDD6E29A629740327A3

1764813E8B969DF163D675A042A7DFCD

6CB6CAEFFC9A8A27B91835FDAD750F90

DC5CFAA8F29824B4D92B3C0ADE1813AC

C98F06B0F69566F60126C8FFB41EC872

D578B8B44D7D413721A6EA0D7CE2BBCB

A1D5DEC080C558948387F534FAA69DC9

50C7E9537ECD1A78E2A2B8A8F3426E37

https[:]//note.**.com/**/index.html?id=3865a47559efe2bcbe0fedf89106d323&type=notebook&_time=1677420095103

164.88.197.3

參考鏈接

[1] 通過偽造中文版Telegram網(wǎng)站投放遠(yuǎn)控木馬的攻擊活動(dòng)分析
http://www.8rpec4.com/research/notice&report/research_report/20221024.html